Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Todos los paquetes con destino al router son procesados en contra del filtro de firewall IP de
entrada de la cadena. Tenga en cuenta, que la cadena de entrada no influye en los paquetes
que estn siendo transferidos a travs del router!
Puede aadir reglas siguientes a la entrada de la cadena en virtud de filtro de cortafuegos
IP / (justo 'copiar y pegar' al router mediante terminal de consola o configurar los argumentos
pertinentes en WinBox):
/ ip firewall filter
add chain=input connection-state=established comment="Accept
established connections"
add chain=input connection-state=related comment="Accept related
connections"
add chain=input connection-state=invalid action=drop comment="Drop
invalid connections"
add chain=input protocol=udp action=accept comment="UDP"
disabled=no
add chain=input protocol=icmp limit=50/5s,2 comment="Allow limited
pings"
add chain=input protocol=icmp action=drop comment="Drop excess
pings"
add chain=input protocol=tcp dst-port=22 comment="SSH for secure
shell"
add chain=input protocol=tcp dst-port=8291 comment="winbox"
# Edit these rules to reflect your actual IP addresses! #
add chain=input src-address=159.148.172.192/28 comment="From
Mikrotikls network"
add chain=input src-address=10.0.0.0/8 comment="From our private
LAN"
# End of Edit #
add chain=input action=log log-prefix="DROP INPUT" comment="Log
everything else"
add chain=input action=drop comment="Drop everything else"
Esta tcnica se encargar de proteccin al propio router, sin embargo Mikrotik trata a la
cadena de entrada como el trfico hacia el propio router. Si usted est realizando NAT, o
puente para otros dispositivos detrs del router, necesitar aadir entradas similares para
la cadena fowarding .
there's more than 10 ftp failure packets within 1 minute, add it to the
blocked up list for 3 hours"
Estos ejemplos son opcionales, y pueden ayudar con otro tipo de intentos de exploracin:
/ip firewall filter
add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list="port scanners" address-listtimeout=2w comment="NMAP FIN Stealth scan"
add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-addresslist address-list="port scanners" address-list-timeout=2w
comment="SYN/FIN scan"
add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-addresslist address-list="port scanners" address-list-timeout=2w
comment="SYN/RST scan"
add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
action=add-src-to-address-list address-list="port scanners" address-listtimeout=2w comment="FIN/PSH/URG scan"
add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
action=add-src-to-address-list address-list="port scanners" address-listtimeout=2w comment="ALL/ALL scan"
add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
action=add-src-to-address-list address-list="port scanners" address-listtimeout=2w comment="NMAP NULL scan"
Voy a seguir este artice con puertos que puede que necesite unos para conseguir ms all
del router.Gracias!
fuente
http://whitneytechnologies.com/?p=27
fuente a pesquisar
https://www.mikrotik.com/testdocs/ros/2.8/howto/howto.php
http://www.ryohnosuke.com/foros/index.php?threads/14310/